登封网站设计百度站长平台怎么用

p.s.这是萌新自己自学总结的笔记，如果想学习得更透彻的话还是请去看大佬的讲解

会话技术

会话：用户打开浏览器，访问web端的资源，会话建立，直到有一方断开连接，会话结束。在一次会话中可以包含多次请求和响应

会话跟踪：一种维护浏览器状态的方法，服务器需要多次识别请求是否来自同一服务器，以便在同一次会话的多次请求间共享数据

会话跟踪方案：
客户端会话跟踪技术：Cookie
服务端会话跟踪技术：Session
令牌技术

Cookie的优缺点

优点：是HTPP协议中支持的技术

缺点：
移动端APP无法使用Cookie
不安全，用户可以自己禁用Cookie
Cookie不能跨域

跨域区分三个维度：协议、IP/域名、端口
只要有一个不同即为跨域

Cookie的优缺点

优点:存储在服务端，安全

缺点：
服务器集群环境下无法直接使用Session
Cookie的缺点

令牌技术

优点
支持PC端、移动端
解决集群环境下的认证问题
解决服务器端存储压力

缺点
需要自己实现

JWT令牌

JWT，全称JSON Web Token
其定义了一种简洁的，自包含的格式，用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在，这些信息是可靠的

其由三部分组成
第一部分：Header(头)，记录令牌类型、签名算法等，例如：{"alg":"H5256","type":"JWT"}
第二部分：Payload(有效载荷),携带一些自定义信息、默认信息等，例如：{"id":"1","username":"zhangsan"}
第三部分:Signature(签名),防止Token被篡改、确保安全性。将Header，Payload，指定密钥加入，通过指定签名算法计算而来

最后再使用base64编码成字符串后生成JWT令牌字符串

注意：JWT校验时使用的签名密钥，必须和生成JWT令牌时使用的密钥是配套的
如果JWT令牌解析校验时报错，则说明JWT令牌被篡改或失效了，令牌非法

一般步骤：
令牌生成：登陆成功后，生成JWT令牌，并返回给前端
令牌校验：在请求到达服务端后，对令牌进行统一拦截、校验

细化：
生成令牌：
引入JWT令牌操作工具类
登陆完成后，调用工具类生成JWT令牌，并返回

过滤器(Filter)

概念：Filter过滤器，是javaWeb三大组件(Servlet、Filter、Listener)之一
过滤器可以把对资源的请求拦截下来，从而实现一些特殊的功能
过滤器一般完成一些通用的操作，比如：登录校验、统一编码处理、敏感字符处理等

使用：
1.定义Filter：定义一个类，实现Filter接口，并重写其所有方法
2.配置Filter：Filter类上加上@WebFilter注解，配置拦截资源的路径。引导类上加上@ServletComponentScan开启Servlet组件支持

备注：放行后访问对应资源，资源访问完成后，还会回到Filter中，并执行放行后的逻辑
Filter可以根据需求，配置不同的拦截资源路径

过滤器链

一个web应用中可以配置多个过滤器，这多个过滤器就构成了一个过滤器链

顺序：注解配置的Filiter,优先级是按照过滤器类名(字符串)的自然排序

拦截器Interceptor

拦截器是一种动态拦截方法调用的机制，类似于过滤器。Spring框架提供的，用来动态拦截控制器方法的执行

作用：拦截请求，在指定的方法调用前后，根据业务需要执行预先设定的代码

使用：
1.定义拦截器，实现HandlerInterceptor接口，并重写其所有方法
2.注册拦截器

过滤器和拦截器的区别

归属不同‌：
‌过滤器（Filter）‌：是Servlet规范的一部分，由Servlet容器（如Tomcat）管理。它不依赖于Spring框架，可以在任何Java Web应用中使用。
‌拦截器（Interceptor）‌：是Spring框架提供的组件，只能在Spring应用中使用。它依赖于Spring的上下文。
.
‌作用域不同‌：
‌过滤器‌：作用于Servlet容器层面，可以拦截所有进入容器的请求（包括静态资源）。
‌拦截器‌：作用于Spring MVC层面，只拦截进入Spring MVC处理器的请求（即Controller的请求）。它不会拦截静态资源，因为静态资源不会被DispatcherServlet处理（除非配置了特殊处理）。
。
接口规范不同：过滤器需实现Filter接口，而拦截器需要实现HandlerInterceptor

异常处理

使用全局异常处理器